https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

供應鏈資安風險管理將成2025年關鍵議題

2025 / 01 / 03
編輯部
供應鏈資安風險管理將成2025年關鍵議題
要有效管理與降低供應鏈風險,關鍵在於嚴謹的供應商評估、謹慎的資料存取控管,以及完善的事前準備。

2024年9月,以色列利用內建爆裂物的呼叫器電池攻擊真主黨,導致黎巴嫩近 3,000 人受傷。這起事件不僅凸顯供應鏈遭武器化的嚴重後果,更揭露了全球供應網路中潛藏的資安風險。

這不是資安廠商為了銷售產品而虛構的末日情境,而是在當前網路犯罪日益猖獗環境下的真實案例。此案凸顯了過度依賴特定國家第三方軟硬體所帶來的潛在威脅,而這種情況比我們想像的更為普遍。9月12日美國眾議院特別委員會調查發現,美國港口高達 80% 的岸邊起重機均由同一家中國國有企業製造。雖然委員會未發現該公司濫用權限的證據,但這樣的資安弱點可能讓中國在地緣政治衝突時有機會操控美國的海運設備與技術。

在各國積極尋求地緣政治優勢的當下,供應鏈資安必須成為 2025 年資安社群的首要重點。根據海外電信業者的 2024 年資料外洩調查報告,利用零時差漏洞進行的攻擊案例年增 180%,其中 15%涉及第三方供應商。一旦出現資安漏洞,關鍵基礎設施極可能成為攻擊目標。

鑑於現代供應鏈生態系統的複雜性、規模和緊密整合程度,建立有效的供應鏈防護確實充滿挑戰。雖然沒有完全消除威脅的萬靈丹,但在 2025 年優先關注有效的供應鏈風險管理原則是關鍵的第一步。這需要在嚴格的供應商評估、謹慎的資料存取控管,以及完善的事前準備三個面向中取得最佳平衡。

供應商評估:不能只做表面工夫

遵循產業標準的演進必須是供應商驗證策略的根本。您需要確認供應商是否已做好準備,符合歐盟的數位營運韌性法案 (DORA) 和網路韌性法案 (CRA) 的要求。他們是否能配合美國國家安全局CNSA 2.0對抗量子運算攻擊的時程?其產品是否有足夠的加密彈性,可在 2025 年前導入美國國家標準與技術研究院 (NIST) 的後量子密碼演算法?這些都是評估新合作夥伴時的關鍵考量。

延伸閱讀:DORA 新法規上路!歐盟金融機構須加強網路韌性

資安長(CISO)應該進一步要求供應商提供具體的資安韌性證明。每年對供應商進行實地安全稽核,評估從實體安全措施、解決方案架構到 IT 工作流程和員工培訓計畫等各個面向。此外,要求供應商提供季度滲透測試報告和弱點評估報告,並仔細審查文件和追蹤改善情形。

同樣重要的是要透過通報程序、溝通協定、專業人員經驗和跨部門合作來評估供應商的資安事件應變能力。任何聯合網路防禦策略都應以安全設計原則為基礎,並將完整的產品安全測試程序納入供應鏈風險評估中。在產品開發初期就導入的安全設計可以在產品正式上線前降低可能的攻擊面。產品安全測試則能全面了解特定產品如何影響您的威脅模型和風險狀況。

資料存取控管:採用最小權限原則

在供應鏈環境中保護資料時,最小化存取權限是首要原則。組織應採取目的導向的資料共享方式,審慎評估第三方合作夥伴執行任務所需的必要資訊。透過分層式零信任架構來限制外部供應商存取機密資訊,不僅能大幅降低供應鏈的攻擊面,更能簡化第三方風險管理。

要落實這個原則,關鍵在於實施嚴格的存取控制,將存取憑證限制在必要的資料和系統範圍內。資料生命週期管理和保留政策在此扮演重要角色:透過自動化流程逐步汰除過時或不必要的資料,即使發生資安事件,也能確保損害可控並維護隱私。此外,對所有第三方可存取的資料接觸點進行全面加密,能為供應鏈生態系統中潛在的資安漏洞提供額外防護。

事前準備:採取主動防禦的資安思維

隨著供應鏈攻擊日益頻繁,企業組織必須採取「資安事件終將發生」的防禦思維。這種主動防禦的態度,能促使組織更謹慎地規劃完整的供應鏈資安事件應變計畫和風險管理機制。

準備工作首重制定並定期更新靈活的資安事件應變流程,尤其要著重第三方和供應鏈風險的規劃。為確保應變機制發揮效用,這些流程不僅要詳實記錄,更要透過實境模擬和桌面演練來反覆驗證。如此不但能及早發現應變策略的潛在缺口,也能確保所有團隊成員充分了解危機時的角色與職責。

另一項關鍵準備工作是維護所有重要供應商和合作夥伴的最新聯絡資訊。當資安事件發生時,能即時聯繫到對應供應商不僅節省寶貴時間,更有助於控制事件影響範圍。這份聯絡清單必須定期稽核和更新,以確實掌握人事異動和供應商關係的變化。

組織同時應熟悉供應鏈中每個關鍵應用系統的緊急關閉和資安圍堵程序。儘管無法預測所有可能發生的情境,但擁有完整應變計畫且熟稔供應鏈環境的團隊,必能更有效地因應惡意攻擊。

本文轉載自 DarkReading。